談?wù)勅绾畏婪禔RP攻擊

　　寧夏馬蓮臺電廠的網(wǎng)絡(luò)是典型的三層交換，采用了思科的設(shè)備，核心層是一臺Cisco 6500 , 匯聚層是兩臺Cisco 6500，分別連接生產(chǎn)樓和生活區(qū)的設(shè)備,在生產(chǎn)區(qū)樓里如集控室、化驗樓、燃供樓、檢修間、除灰樓、小車庫都掛著Cisco 3550作為接入層。全廠一共有200多臺計算機通過交換機連成一個局域網(wǎng)。

　　馬蓮臺電廠網(wǎng)絡(luò)拓撲圖

　　2、網(wǎng)絡(luò)故障現(xiàn)象

　　局域網(wǎng)內(nèi)的計算機出現(xiàn)外部網(wǎng)站訪問速度緩慢，甚至無法打開的現(xiàn)象，客戶端用戶頻繁出現(xiàn)斷網(wǎng)并發(fā)現(xiàn)IP沖突。最嚴重的時候出現(xiàn)部分生產(chǎn)樓網(wǎng)絡(luò)癱瘓。

　　3、故障分析：

　　3.1故障原因查找

　　在開始不能上網(wǎng)的計算機上運行arp –a，說明：10.216.96.3是網(wǎng)關(guān)地址，后面的00-00-0c-07-0a-01是網(wǎng)關(guān)的物理地址。此物理地址默認情況下是不會發(fā)生改變的，如果發(fā)現(xiàn)物理地址不是此地址說明自己已經(jīng)受到了arp病毒的攻擊 。

　　查找過程：

　　(1)、執(zhí)行arp –a 列出了：

　　10.216.96.18 00-0F-EA-11-00-5E

　　10.216.96.3 00-0F-EA-11-00-5E (網(wǎng)關(guān))

　　由于之前我們已經(jīng)知道網(wǎng)關(guān)的正確物理地址是00-00-0c-07-0a-01，此時卻變成了00-0F-EA-11-00-5E，說明10.216.96.18正在利用arp進行欺騙，冒充網(wǎng)關(guān)。

　　(2)、執(zhí)行arp –d 清除ARP列表信息。重新運行arp –a看數(shù)據(jù)類表的可疑IP地址是否存在，不存在說明此IP地址正常;存在，說明該機器肯定有ARP病毒。

　　(3) 使用tracert命令

　　在任意一臺受影響的主機上，在DOS命令窗口下運行如下命令：tracert 61.135.179.148(外網(wǎng)IP地址)。假定設(shè)置的缺省網(wǎng)關(guān)為10.8.6.1，在跟蹤一個外網(wǎng)地址時，第一跳卻是10.8.6.186，那么，10.8.6.186就是病毒源。

　　3.2 ARP攻擊原理分析

　　ARP，全稱Address Resolution Protocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時對上層提供服務(wù)。ARP病毒造成網(wǎng)絡(luò)癱瘓的原因可以分為對路由器ARP表的欺騙，和對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙兩種。第一種必須先截獲網(wǎng)關(guān)數(shù)據(jù)。它使路由器就收到一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷更新學習進行，使真實的地址信息無法通過更新保存在路由器中，造成的PC主機無法正常收到回應(yīng)信息。第二種是通過交換機的MAC地址學習機制，當局域網(wǎng)內(nèi)某臺主機已經(jīng)感染ARP欺騙的木馬程序，就會欺騙局域網(wǎng)內(nèi)所有主機和路由器，讓所有上網(wǎng)的流量都必須經(jīng)過病毒主機。

　　4、調(diào)查結(jié)論：

　　通過以上查找分析，局域網(wǎng)內(nèi)有計算機感染ARP 病毒，中毒的機器的網(wǎng)卡不斷發(fā)送虛假的ARP數(shù)據(jù)包，告訴網(wǎng)內(nèi)其他計算機網(wǎng)關(guān)的MAC地址是中毒機器的MAC地址，是其他計算機將本來發(fā)送網(wǎng)關(guān)的數(shù)據(jù)發(fā)送到中毒機器上，導致整個局域網(wǎng)都無法上網(wǎng)，嚴重乃至整個網(wǎng)絡(luò)的癱瘓。我們知道局域網(wǎng)中的數(shù)據(jù)流向是:網(wǎng)關(guān)→本機; 如果網(wǎng)絡(luò)有ARP 欺騙之后,數(shù)據(jù)的流向是:網(wǎng)關(guān)→攻擊者→本機,因此攻擊者能隨意偷聽網(wǎng)絡(luò)數(shù)據(jù),截獲局域網(wǎng)中任一臺機器收發(fā)的郵件,WEB瀏覽信息等，還會竊取用戶密碼。如盜密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號去做金錢交易，盜竊網(wǎng)上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟損失。

　　5、防范所采取措施

　　5、1 用戶端防范措施：

　　安裝arp防火墻或者開啟局域網(wǎng)ARP防護，比如360安全衛(wèi)士等arp病毒專殺工具，并且實時下載安裝系統(tǒng)漏洞補丁，關(guān)閉不必要的服務(wù)等來減少病毒的攻擊。

　　如果在沒有防范軟件安裝的情況下，也可以通過編寫簡單的批處理程序來綁定網(wǎng)關(guān)來防止ARP欺騙，步驟如下：

　　(1)首先，獲得安全網(wǎng)關(guān)的內(nèi)網(wǎng)的MAC地址。以windows xp為例。點擊“開始”→“運行”→輸入cmd，點擊“確定”后，將出現(xiàn)相關(guān)網(wǎng)絡(luò)狀態(tài)及連接信息，輸入arp –a，可以查看網(wǎng)關(guān)的MAC地址

　　(2)編寫批處理文件arp.bat內(nèi)容如下：

　　@echo off

　　arp –d

　　arp –s 10.216.96.3(安全網(wǎng)關(guān)) 00-09-ac-82-0d (網(wǎng)關(guān)的MAC地址)注：arp -s 是用來手動綁定網(wǎng)絡(luò)地址(IP)對應(yīng)的物理地址(MAC)

　　(3) 編寫完以后，點擊“文件” →“另存為”。注意，文件名一定要是*.bat，點擊保存就可以。

　　(4) 將這個批處理文件拖到“windows→開始→程序→啟動”中，最后重起電腦即可。

　　5.2 網(wǎng)管員采取的防范措施

　　(1) 學會使用Sniffer抓包軟件。

　　ARP病毒最典型的現(xiàn)象就是網(wǎng)絡(luò)時通時斷，用Sniffer抓包分析，會發(fā)現(xiàn)有很多的ARP包。

　　(2) 在全網(wǎng)部署安裝ARP防火墻服務(wù)端及客戶端軟件

　　(3) 使用多層交換機或路由器：接入層采用基于IP地址交換進行路由的第三層交換機。由于第三層交換技術(shù)用的是IP路由交換協(xié)議，以往的鏈路層的MAC地址和ARP協(xié)議失效，因而ARP欺騙攻擊在這種交換環(huán)境下起不了作用。

　　6、結(jié)束語

　　ARP欺騙在相當長的時間內(nèi)還會繼續(xù)存在，ARP欺騙也在不斷的發(fā)展和變化中，希望廣大網(wǎng)絡(luò)管理員密切注意它，從而減少對我們網(wǎng)絡(luò)的影響。

　　參考文獻：

　　[1] 王奇.以太網(wǎng)中ARP欺騙原理與解決辦法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007,(2)

　　[2]謝希仁.計算機網(wǎng)絡(luò).北京：人民郵電出版社，2006.

　　[3] 趙鵬.計算機網(wǎng)絡(luò)系統(tǒng)中基于ARP協(xié)議的攻擊與保護[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2005.1:101.

【談?wù)勅绾畏婪禔RP攻擊】相關(guān)文章：

緩沖區(qū)溢出攻擊的分析及防范策略03-18

談?wù)勅绾芜M行盈余管理03-18

防火墻在防范局域網(wǎng)內(nèi)外部攻擊中的應(yīng)用11-16

如何有效控制與防范內(nèi)部審計風險03-22

探析數(shù)字圖書館網(wǎng)絡(luò)防治ARP病毒的策略03-19

企業(yè)如何防范財務(wù)風險03-22

ＡＲＰ病毒的攻擊原理分析03-14

外貿(mào)企業(yè)如何防范匯率風險的兩類方法02-28

企業(yè)應(yīng)如何防范和化解財務(wù)危機03-22